Reuters

Empresa indiana de segurança identifica ransomware 'Robin Hood'

Programas do tipo ransomware ficaram conhecidos nos últimos anos por mirarem ganhos financeiros altos: a praga sequestra dados de empresas e governos e a liberação só ocorre mediante a grandes quantias de dinheiro. Agora, pesquisadores descobriram um ransomware que atua como 'Robin Hood'. Em vez de dinheiro, ele exige ações sociais das vítimas, como doação de cobertores, roupas e medicamentos. 

Descoberto pela empresa indiana de segurança CloudSek, o ransomware, batizado de 'GoodWill', só libera os dados após um processo de doações realizado em três partes. "O grupo, que faz o estilo 'Robin Hood', diz estar mais interessado em ajudar os desfavorecidos do que em extorquir as vítimas por objetivos financeiros", diz a CloudSek.

A primeira parte do processo para a liberação dos dados exige da vítima a doação de roupas e cobertores para moradores de rua. O operador do ransomware instrui que a doação deve ser registrada em fotos e vídeos e postada nas redes sociais com uma mensagem de incentivo para que outros façam a mesma coisa. Na sequência, a vítima deve enviar registros das postagens, juntamente dos links, para os operadores, que validam a realização da tarefa. Caso seja aprovada, a segunda fase é liberada.  

CloudSek/Divulgação

Imagem exibida pelo GoodWill, ransomware que exige ações sociais 

Na segunda atividade, a vítima é instruída a levar cinco crianças pobres da região a restaurantes como Domino's Pizza, Pizza Hut ou KFC e dar a elas total autonomia para realizar pedidos - "trate essas crianças como seus irmãos mais novos", diz a mensagem do ransomware. Desta vez, a vítima deve fazer selfies com as crianças, fazer imagens do evento e tirar uma foto da conta. Novamente, o material deve ser encaminhado aos operadores do programa, que decidem pela aprovação para a terceira fase. 

Na terceira atividade, a vítima deve procurar um hospital, identificar famílias de pacientes com problemas financeiros e assumir a conta hospitalar. Novamente, tudo deve ser registrado, incluindo um áudio no qual a vítima se prontifica a assumir a conta, e postado em redes sociais.  Ao final das três atividades, a vítima deve ainda escrever um textão em redes sociais afirmando que foi transformado em um "ser humano amável" após virar "vítima do GooWill". Depois desse material ser enviado, os operadores do golpe liberam a ferramenta que permite decifrar a criptografia que bloqueou as informações da vítima. 

A  CloudSek afirma não ter encontrado vítimas do programa. Em uma análise, a companhia conseguiu identificar que a praga foi criada a partir do HiddenTear, um ransomware turco de código aberto. A CloudSek diz que também identificou um endereço de e-mail ligado a uma empresa indiana de soluções de segurança - o nome da companhia, porém, não foi revelado.